Dubios? 10.09.1636

eine_von_vielen · 8. November 2019 um 21:34

Hallo Computerexperten und Historiker,

auf der Suche nach Viren, Würmern und Trojanern auf meinem Rechner habe ich einen äußerst dubiosen Ordner auf meinem Rechner gefunden.
Aber der Reihe nach.
Ich habe hier ein wenig mitgelesen, und dachte es wäre mal wieder Zeit für einen virenscan. Gesagt getan mit Norton AV und Ad-Aware SE Personal. Nichts gefunden.
Dann habe ich gedacht, sollte ich vieleicht mal alle temporären Ordner leeren. Alle bis auf 4 Dateien ließen sich löschen. Aber die letzten viere wollen nicht aus dem Temp ordner verschwinden, da sie anscheinend gerade genutzt werden (kann das sein?).
Dann ist mir aber im Ordner „Verlauf“ aufgefallen, dass in der linken Spalte, wo die ganze Liste steht, nicht nug „Heute“ als Option steht (nur „Heute“ wird im großen Fenster angezeigt), sondern auch zwei mal ein Unter-was-auch-immer (ein Ordner ist es glaube nicht) steht, welches heißt:
10.09.1636 bis 23.09.1609
ich gelobe hoch und heilig, dass ich damals allen Schriftkram nur mit Tinte und Feder gemacht habe, und keinerlei Zugang zum Internet hatte. Deswegen wundere ich mich wo das her kommt.

Auf Antwort hoffend

m.

Hinterw_ldler_37172f · 8. November 2019 um 21:34

Hallo Manou

wieder Zeit für einen virenscan. Gesagt getan mit Norton AV

Das durfte wohl die am wenigsten geeignete Software für eine ernstliche Suche nach Malware sein - Ehrlich, frag mal in der Runde

Nichts gefunden.

Ist ein PC richtig kompromittiert, dann kannst du auch nichts finden

Aber die letzten viere wollen nicht aus dem Temp
ordner verschwinden, da sie anscheinend gerade genutzt werden
(kann das sein?).

Das ist nicht ausgeschlossen!

sondern auch zwei mal ein Unter-was-auch-immer (ein Ordner ist
es glaube nicht) steht, welches heißt:
10.09.1636 bis 23.09.1609
ich gelobe hoch und heilig, dass ich damals allen Schriftkram
nur mit Tinte und Feder gemacht habe, und keinerlei Zugang zum
Internet hatte. Deswegen wundere ich mich wo das her kommt.

Letzteres wird dir jeder unbesehen glauben, aber der Ordner ist ein untrügliches Zeichen für einen kompromittierten PC. Ich würde dabei sogar soweit gehen zu sagen: Der bisherige zeitweilige Besitzer des PC hat ihn aufgegeben und du darfst ihn wieder benutzen. Du glaubst mir nicht? Du glaubst nicht, das es Menschen gibt, die dich in dieser Form noch verhöhnen?

Damit ist aber noch lange nicht gesagt, das er keinen Zugriff mehr auf dein System hat. Auf deinem PC befindet sich ein Script, der bei jedem Systemstart ihm eine Nachricht sendet, in welcher deine aktuelle IP, also die vom Provider zugewiesene momentane Adresse, steht. Beenden kannst du dies nur noch, indem du deine Startpartition löschst, dein System neu installierst und nach den in http://www.ntsvcfg.de genannten Kriterien konfigurierst.

der hinterwäldler

eine_von_vielen · 8. November 2019 um 21:36

Hallo Hinterwäldler,

erstmal Danke für deine Antwort, wobei ich mir natürlich insgeheim doch eine andere Antwort gewünscht hätte… Aber das Leben ist ja kein Wunschkonzert, ne? Deswegen werde ich brav den PC platt machen, so wie du es gesagt hast.

Norton AV
Das durfte wohl die am wenigsten geeignete Software für eine
ernstliche Suche nach Malware sein - Ehrlich, frag mal in der
Runde

Was würdest du denn für Privatgebrauch empfehlen? Habe aber immer schön geupdatet…

Ist ein PC richtig kompromittiert, dann kannst du auch nichts
finden

Na super, dann weiß ich ja auch niemals wann es endlich vorbei ist

Ich würde dabei sogar soweit gehen zu sagen: Der bisherige
zeitweilige Besitzer des PC hat ihn aufgegeben und du darfst
ihn wieder benutzen. Du glaubst mir nicht? Du glaubst nicht,
das es Menschen gibt, die dich in dieser Form noch verhöhnen?

Doch das glaube ich gerne, aber wer sucht und findet mich und vor allem, wieso verläßt er mich so mir nichts dir nichts wieder? Spaß beiseite, hatte nichts gemerkt. Mein Rechener war auch nciht plötzlich „überbelastet“ oder so.

Damit ist aber noch lange nicht gesagt, das er keinen Zugriff
mehr auf dein System hat. Auf deinem PC befindet sich ein
Script, der bei jedem Systemstart ihm eine Nachricht sendet,
in welcher deine aktuelle IP, also die vom Provider
zugewiesene momentane Adresse, steht. Beenden kannst du dies
nur noch, indem du deine Startpartition löschst, dein System
neu installierst und nach den in http://www.ntsvcfg.de
genannten Kriterien konfigurierst.

Hmm, das hatte ich auch beinahe befürchtet. Deswegen einfach alles kurz und klein machen. Danke nochmals für die Mühe, ich hoffe ich bin nicht so bald wieder hier…

bis dahin
Grüßle
m.